image

Juridische vraag: Moet je aangifte van hacking doen?

woensdag 30 juni 2010, 10:35 door Arnoud Engelfriet, 11 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag:Indien we in onze firewall of op ons bedrijfsnetwerk een hackpoging detecteren (van binnen of van buitenaf), wat kunnen en mogen we juridisch dan? Zijn we bijvoorbeeld verplicht om alle logs te bewaren en aangifte te doen?

Antwoord:Je bent niet verplicht om aangifte te doen. Dat ben je normaal nooit, behalve in een paar heel specifieke gevallen (art. 160 Strafvordering) zoals wanneer je kennis krijgt van geplande aanslagen op regering of koningshuis of van misdrijven waarbij levensgevaar ontstaat.

Er is dus niets mis met bij een inbraakpoging de aanvaller uit je netwerk te trappen, de poorten dicht te zetten met een botte firewallrule en vervolgens het betrokken systeem meteen geheel opnieuw te installeren en alle data van backups terug te zetten. Dat je daarbij mogelijk bewijs vernietigt, is niet relevant. Je bent niet verplicht om zulk bewijs te bewaren, tenzij je een vordering van de politie hebt gehad om bepaalde data te verzamelen en/of te bewaren en aan hen te geven.

Je mag echter natuurlijk wel aangifte doen als je dat wilt. Iedereen mag aangifte doen van strafbare feiten (art. 161 Strafvordering), ook als hij er niet zelf slachtoffer van is. De politie is verplicht zo'n aangifte op te nemen (art. 165 Strafvordering). Het helpt als je bewijs meeneemt én een kopie van de relevante wetsartikelen die volgens jou overtreden zijn. Dat hoeft niet, maar je zult de eerste niet zijn die afgepoeierd wordt met "dit is een civiele kwestie" of "dat is niet strafbaar" door een agent die de artikelen over computercriminaliteit niet kent.

Er zijn geen specifieke regels over hoe je dat bewijs aan zou moeten leveren. Ik zou zo veel mogelijk digitaal veiligstellen op bv. een USB-stick die je veilig bewaart. Maar elke andere manier is in principe ook goed. Belangrijkste is dat je de kans op een geslaagd betoog dat er is geknoeid met het bewijs kunt minimaliseren. Sla je logs bv. extern op, dan is dat een mooi tegenargument daarop. Een e-mail in een Wordbestand copypasten zou ik niet heel sterk vinden.

Een inbreker zijn gang laten gaan om zo méér bewijs te verzamelen kan op zich, maar heeft wel het praktische risico dat hij meer stukmaakt dan je eigenlijk bereid was toe te laten. Uitlokking is dat niet, hij is immers al binnen en het misdrijf is dus al begaan. Ga alleen niet even snel wat documentjes voor zijn neus neerzetten met een aanlokkelijke titel. Dat zou wel eens uitlokking kunnen opleveren (zie ook de discussie over honeypots en uitlokking).

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (11)
30-06-2010, 11:03 door Anoniem
Dus als je werkt in een kerncentrale waarbij een indringer de Windows PC die de koeling regelt wil stil leggen, ben je wel verplicht om te melden? Hoe bewijs je in dat geval dat de persoon willens en wetens de boel om zeep wilde helpen? Wellicht dat hij dat hij een spelletje aan het spelen was (http://www.imdb.com/title/tt0086567/)
30-06-2010, 12:42 door Anoniem
Door Anoniem: Dus als je werkt in een kerncentrale waarbij een indringer de Windows PC die de koeling regelt wil stil leggen, ben je wel verplicht om te melden? Hoe bewijs je in dat geval dat de persoon willens en wetens de boel om zeep wilde helpen? Wellicht dat hij dat hij een spelletje aan het spelen was (http://www.imdb.com/title/tt0086567/)

Willens en wetens is niet zo noodzakelijk om te bewijzen. Niet bekend zijn met het feit dat men een strafbaar feit pleegt is geen verdediging namelijk.

Buiten dat lijkt het me overigens ook redelijk misdadig om een public-facing Windows PC in te zetten in iets kritieks als het koelwatersysteem van een Kerncentrale. De EULA van MS is daar redelijk duidelijk in: Niet inzetten in mission critical omstandigheden.

Zelfde geldt overigens ook voor OSX en iedere vrij verkrijgbare Linux-distro. Gelukkig wordt er in kerncentrales niet zomaar een CD-tje in de drive geknald en next-next-next-ok geklikt...
30-06-2010, 13:34 door Arnoud Engelfriet
Als je in een kerncentrale werkt, dan kun je in je bedrijfsbeveiligingsprotocol nazoeken hoe je om moet gaan met hackpogingen. Heb je dat niet, dan hoor ik graag in welke provincie je werkt zodat ik daar 300 km vandaan kan blijven.

Verder zijn de intenties van de pleger niet per se relevant. Er zijn genoeg misdrijven waar je je ook zonder opzet aan schuldig kunt maken (dood door schuld bijvoorbeeld). En in geval van twijfel mág je altijd aangifte doen.

Die regel over "verplicht aangifte doen" zal zelden te handhaven zijn, want bewijs maar eens dat jij het wist en weigerde aangifte te doen. Het is volgens mij meer een handige stok om iemand mee te slaan als je niet kunt bewijzen dat hij medeplichtig was maar wel wist van het misdrijf.
30-06-2010, 13:53 door Anoniem
Door Anoniem: Gelukkig wordt er in kerncentrales niet zomaar een CD-tje in de drive geknald en next-next-next-ok geklikt...[/quote]Zou het?
http://www.security.nl/artikel/33382/1/%22Windows_ongeschikt_voor_kerncentrales%22.html
30-06-2010, 14:09 door Anoniem
Het blijkt in de praktijk dat het aangeven van hackpogingen en andere vormen van computervredebreuk, computer fraude etc, bij het lokale politiebureau een uitdaging is.

Ik heb gedurede het laatste jaar bij zowel MKB klanten meerdere malen vernomen, en dat is een bevestiging van wat ik meer hoor op de markt, dat een aangifte doen bij de politie vaan een muur van onbegrip, onwetendheid en frustratie is voor zowel het slachtoffer als de agent die het proces verbaal opmaakt. Vaak eindigt het proces in het niet aangeven van het incident.

Persoonlijk ben ik van mening, ook al is het wettelijk niet verplicht, dat iedereen aangifte zou moeten doe. Ten eerste om dat op deze manier er een beter beeld ontstaat van digitale misdaad en het aantal incidenten dat er op jaar basis plaats vindt en ten tweede omdat de overheid dan de ernst inziet en meer inzet op het vergroten van het aantal digitale rechercheurs en het trainen van administratieve medewerkers ne agenten in het algemeen op het gebied van cybercrime en hoe deze in een administratief proces te verwerken en het proces te verbeteren.

Overigens voor zover ik weet wil men al iets dergelijks in het Verenigd Koninkrijk gaan doorvoeren. Wetsvoorstel is meen ik al ingediend.

Mijn punt is dus dat de overheid meer moet doen om de bedrijven en particulieren die daadwerkelijk aangifte willen doen ook goed te kunnen helpen en zodoende ook vanuit overheidswege meer zicht krijgt op het "probleem". Meer budget, aangepaste wet- en regelgeving en verantwoordelijkheid van zowel gedupeerde als overheidsinstanties is "key".

Op het moment is het een rommeltje waardoor veel bedrijven en particulieren het opgeven
30-06-2010, 14:33 door HaSo
Ik heb ooit een tijdje gewerkt op bedrijf met eigen energie centrale en toen was het al strikt.

De centrale draaide op een eigen primaire computer systeem, met back-up. En die was niet verbonden aan internet.

Daarnaast was een tweede systeem waar het bedrijf dingen mee deelde als, productie, verbruik, enz. Dat tweede systeem had eigen elektronische opnemers en was dus op geen enkele wijze gekoppeld aan het primaire systeem, wel aan internet.

Ook was er een derde systeem wat gekoppeld was aan SEP (nu is dat Tennet) om het landelijk verbruik en geproduceerde energie te bekijken. Verbonden via directe lijn aan SEP.

Dus bedienen van buitenaf was toen al onmogelijk.
Ik ben dus helemaal niet bang dat ze in een kerncentrale in hacken en de koeling uitzetten..
30-06-2010, 23:32 door Anoniem
Ik heb jaren bij een ISP gewerkt, in die tijd zijn er wel eens systemen van klanten in colo gehackt. Uit het begeleiden van het proces van aangifte kan ik wel een aantal dingen zeggen over hoe het gaat bij de politie:

- kennis van de betreffende wetsartikelen ontbreekt bij een groot deel van politie en justitie
- men weet vaak niet op grond van welke artikelen men loggegevens kan vorderen
- er is geen protocol hoe je de gegevens aan moet leveren
- periode tussen aangifte en vordering van loggegevens is vaak lang (weken), meestal wordt in eerste instantie niet de juiste gegevens gevorderd
- kennis bij politie ontbreekt veelal om de geleverde gegevens te analyseren, men is afhankelijk van jouw analyse van de feiten, tenzij je dus zeer goede procedures hebt die onafhankelijke log vastlegging regelen zijn je logs geen onafhankelijk bewijs van de gepleegde feiten

Consequentie is dat juridisch gezien het zelden haalbaar is om tot vervolging over te gaan.
03-07-2010, 09:12 door Anoniem
"Ga alleen niet even snel wat documentjes voor zijn neus neerzetten met een aanlokkelijke titel. Dat zou wel eens uitlokking kunnen opleveren (zie ook de discussie over honeypots en uitlokking). "

Is het dan ook uitlokking wanneer ik interessante documenten op mijn bureau thuis heb liggen, in een afgesloten huis, waar niemand hoort binnen te komen ? Ik vind het vergezocht om dit uitlokking te noemen.

"Dat zou wel eens uitlokking kunnen opleveren (zie ook de discussie over honeypots en uitlokking). ""

Honeypots zijn meestal niet zozeer bedoeld om mensen uit te lokken (je adverteert niet dat je een honeypot hebt, of waar je deze kunt vinden). Het is een goede manier om informatie te verzamelen, ook bijvoorbeeld m.b.t. malware op je netwerk, en indien je honeypots wilt verbieden, dan kan je net zo goed logging rules op firewalls/routers verbieden, alsmede intrusion detection systemen, welke soortgelijke doeleinden hebben.

Lok je malware uit, wanneer je een tarpit honeypot plaatst om malware propagatie te detecteren en te stoppen / af te remmen ? ;)
03-07-2010, 12:36 door Arnoud Engelfriet
Wat ik bedoelde, is dat je een inbreker detecteert en dan gauw hier en daar wat beveiliging UIT zet om zo hem te verlokken nog wat meer te downloaden. Dat gebeurt wel eens, onder het motto "dan krijgen we meer bewijs". Maar dat vind ik verboden uitlokking.

Het criterium is of je iemand aanzet om iets te doen dat hij normaal niet zou hebben gedaan. Staat er een map open, dan is het geen uitlokking als iemand de inhoud inleest.
06-07-2010, 09:05 door Anoniem
Door Anoniem: Het blijkt in de praktijk dat het aangeven van hackpogingen en andere vormen van computervredebreuk, computer fraude etc, bij het lokale politiebureau een uitdaging is.
Yep, helemaal waar. Niet alleen lokaal, maar ook op het hoofdkantoor...

Ik kan me zo rond 2000 wat gevallen herinneren bij mijn werkgever. Het leek ons toen normaal om hierover aangifte te doen. Uiteindelijk bij hoofdkantoor terechtgekomen, maar ook daar wist men niet echt wat ze ermee aanmoesten. Nooit meer iets van gehoord naderhand.

Ergens bitter dat het nu, 10 jaar later, helemaal niets lijkt veranderd....
09-12-2010, 21:30 door Anoniem
het is toch te gek voor woorden dat de politie en justitie in NL zo achterlopen in hun kennis van computercriminaliteit!? Ik vindt dat er een aparte digitale politie moet komen.Dit is hard nodig ,niet alleen i.v.m terrorisme, maar ook t.b.v. gewone internetters,dus niet alleen voor de overheid en het bedrijfsleven.Ik heb sterke aanwijzingen dat mijn beide computers zijn gehacked,afgetapt (o.a. webcam en msn-tekst-chatgesprekken,en e-mails.Het lijkt erop dat diegenen van op afstand toegang tot mijn computer hebben.Ik vraag me af hoe dit kan ,heb McAfee Security Center op mn computer,plus nog wat online virus en spyware scanners,ook MalwareBytes.Ik heb UPC als internetprovider.Ik ben op zoek naar iemand die mijn computers kan onderzoeken o.a. op hardware keyloggers,en mij kan helpen bewijsmateriaal te verzamelen om aangifte te kunmnen doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.